1、sql注入比較難防，需要替換select,delete等一打字符

其實對于字符型替換再多都沒有替換單引號為兩個單引號來的好！對于數(shù)字型替換再多都沒有用，一定要類型轉(zhuǎn)換。
2、忽略DropDownList傳來的東西
其實是不對的，一切客戶端的東西都是不可信任的，select下拉框也是！因為可以自己做一個htm提交到服務器。
3、access比sqlserver不安全
安全不安全關(guān)鍵看怎么用，如果sqlserver還是像access一樣用，一個sa帳戶的話，很明顯，sqlserver比access不安全，可以直接得到表名和字段名！access反而倒安全點了，因為只能通過逐位猜解得到。
4、網(wǎng)站沒有顯示出錯信息就說明網(wǎng)站是安全的
當有記錄的時候顯示記錄，沒有記錄的時候顯示找不到任何記錄，通過這兩種狀態(tài)就可以猜解字段名了，所以網(wǎng)頁不出錯不能說明是安全的
5、忽略post提交的信息
很多人對url上傳遞的東西過濾嚴格，對于post的東西不理不睬是不對的，post的東西更加容易被注入，因為一般字段比較多
在asp.net中強烈建議通過參數(shù)來實現(xiàn)sql而不是sql拼接，因為就算你每一個都過濾百密難有疏
比如：

SqlConnection conn=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings[“conn”]);
SqlCommand comm=new SqlCommand(“update tb1 set vName=@vName,iAge=@iAge where ID=@id”,conn);
SqlParameter parm1=new SqlParameter("@vName",SqlDbType.NVarChar,50);
parm1.Value=((TextBox)e.Item.FindControl(“name”)).Text;
SqlParameter parm2=new SqlParameter("@iAge",SqlDbType.Int);
parm2.Value=((TextBox)e.Item.FindControl(“age”)).Text;
SqlParameter parm3=new SqlParameter("@id",SqlDbType.Int);
parm3.Value=this.DataGrid1.DataKeys[e.Item.ItemIndex];
comm.Parameters.Add(parm1);
comm.Parameters.Add(parm2);
comm.Parameters.Add(parm3);
conn.Open();
comm.ExecuteNonQuery();
conn.Close();

這樣的代碼看起來舒服而且又安全，何樂不為？

總結(jié)

以上是生活随笔為你收集整理的ASP.net防止SQL注入方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。